Extended Validation не работает

https://stripe.ian.sh/
  • Перевод
Сертификаты расширенной проверки («EV») являются уникальным типом сертификата, выдаваемого удостоверяющими центрами после более тщательной проверки объекта, запрашивающего сертификат. В обмен на эту более строгую проверку, браузеры показывают специальный индикатор, например, зеленую полосу, содержащую название компании, или, в случае Safari, полностью заменяют URL на название компании.

Как правило, этот процесс работает достаточно хорошо, и ошибочно выпущенных сертификатов немного. Однако проблем хватает с лихвой. EV сертификаты содержат информацию о юридическом лице, стоящем за сертификатом, но не более того. Наименование юридического лица, однако, может быть достаточно вариативным; Например, Джеймс Бертон недавно получил EV сертификат для своей компании «Identity Verified»(англ. Подлинность проверена — прим. перев.). К сожалению, у пользователей просто нет возможности увидеть и разобраться в таких особенностях, и это создает значительный простор для фишинга.

Сегодня я продемонстрирую еще одну проблему с сертификатами EV: повторяющиеся названия компаний. В частности, этот сайт использует сертификат EV для «Stripe, Inc», который был законно выпущен Comodo. Однако, когда вы слышите «Stripe, Inc», вы, вероятно, думаете о платежной системе, зарегистрированной в штате Делавэр. Однако на этом сайте, вы взаимодействуете с «Stripe, Inc», зарегистрированной в штате Кентукки. Эта проблема также может возникать для фирм с одинаковым названием в разных странах.

Как пользователь может определить, с каким сайтом он работает? Браузеры скрывают эту информацию, в лучшем случае показывают страну регистрации. Очевидно, здесь и настоящий и поддельный Stripe находятся в одной и той же стране. При наличии достаточно щелчков мыши вы можете открыть средство просмотра системных сертификатов или заставить свой браузер показать вам город и штат. Но все это не поможет простым пользователям, и они, скорее всего, просто слепо доверятся ярко-зеленому индикатору.

Давайте посмотрим на пользовательские интерфейсы браузеров. В Safari URL-адрес полностью скрыт! Это означает, что злоумышленнику даже не нужно регистрировать похожий домен для фишинга. Можно регистрировать любой домен, и Safari с удовольствием отобразит его красивым зеленым индикатором. Ниже приведен снимок экрана с этого сайта. Трудно поверить, да?

image

С браузером Chrome история немного лучше, но только если вы потрудитесь посмотреть полный URL-адрес. У Chrome нет собственного способа просмотра чего-либо, кроме названия компании и страны сертификата. Новые версии Chrome откроют средство просмотра системных сертификатов двумя щелчками мыши (в старых версиях просмотр сертификата полностью удален (это не совсем так — прим. перев.)), но средство просмотра системных сертификатов бесполезно для любого обычного пользователя.



Firefox ведет себя аналогично Chrome, но позволяет пользователям просматривать город и штат регистрации двумя щелчками мыши. Это по-прежнему бессмысленно; даже если простые пользователи потрудятся это проверить, им еще нужно знать, где находится компания, в которой они оформляют заказ, и убедиться в соответствии.



Один из вопросов может заключаться в том, насколько практична эта атака для реального злоумышленника, который хочет получить чьи-то данные фишингом. Во-первых, от регистрации юридического лица до выдачи EV сертификата я потратил менее часа моего времени и около 177 долларов. 100 долларов США — это регистрация компании, а сертификат — 77 долларов США. С момента регистрации до выдачи сертификата прошло около 48 часов.

Основное преимущество EV сертификатов, на которое делают упор сторонники расширенной проверки, заключается в том, что получение EV сертификатов оставляет за собой цепочку бумажных следов ведущих к личности злоумышленника. Тем не менее, в этом процессе проверка личности минимальна. Dun & Bradstreet была единственной организацией, которая пыталась проверить мою личность и сделала это несколькими тривиальными вопросами. Покупка удостоверения и ответы на общие проверочные вопросы не являются ни трудными, ни дорогостоящими действиями.

Попыток проверки личности со стороны штата Кентукки или агента, которого я использовал в этом процессе, не было. Это типично при регистрации компании в Соединенных Штатах. Таким образом, злоумышленники могут легко получать EV сертификаты. Некоторые злоумышленники могут прилагать больше усилий, например, отправлять фишинговые SMS сообщения. Mobile Safari на iOS скроет URL-адрес после его открытия и, значительно увеличит вероятность успеха при сборе учетных данных. И, конечно, нет способа просмотреть сертификат с помощью Mobile Safari.

После того, как Джеймс Бертон получил сертификат «Identity Verified», последовало обсуждение через публичный список рассылки CA/Browser Forum, cabfpub. Некоторые идеи были отброшены, главным образом сосредоточились вокруг добавления более сильной привязки к человеку, запрашивающему сертификат, чтобы сдержать преступников от получения этих сертификатов. Тем не менее, есть надежда, что все эти «костыли», возможно, остановят преступников желающих получить сертификат расширенной проверки.

Одно из предлагаемых решений заключалось в том, чтобы потребовать от заявителей какой-либо формы личной проверки, будь то виртуально или в реальной жизни, и требовать предоставления идентификационной информации для подтверждения их личности. Хотя это и может помешать некоторым злоумышленникам, но у тех, кто занимается более целенаправленными или громкими атаками, не будет проблем потратить немного времени для подделки идентифицирующих документов или попытаться обойти другие методы проверки.

Стоит отметить, что Базовые Требования — набор стандартов, которым должны соответствовать доверенные сертификаты, — включают Запросы Сертификатов Высокого Риска (High Risk Certificate Requests). Тем не менее, определение термина Запрос Сертификата Высокого Риска сформулировано не очень четко и в некотором смысле бесполезно. Запрос «может включать имена с повышенным риском для фишинга», но функция определения делегирована удостоверяющим центрам, которые должны поддерживать список целей для фишинга в актуальном состоянии.

Несомненно можно предложить много решений этой проблемы. Но в конечном счете, любой метод, основанный на том, что пользователям показывается название юридического лица, является полностью ущербным. В результате того, что EV сертификаты работают именно так, у браузеров нет особых возможностей исправить проблему. Тем не менее, они могут предпринять шаги, чтобы гарантировать, что сертификаты EV не заменяют другие важные части пользовательского интерфейса, как это делает Safari.
Поделиться публикацией
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 13
    +3
    А может проблема не в сертификатах, а в Safari?
      +1

      Думаете, обычные пользователи что-то понимают в этих ваших урлах, особенно, если в нём будет не только домен, но и некая "мишура"?

        +2
        Думаю, UX-специалисты Apple перестарались.
          0

          Причём тут Сафари и Эпл, если я имею в виду все остальные браузеры?

            +2
            Из вашей статьи я понял, что браузер Safari скрывает адрес сайта при наличии EV-сертификата. В комментариях я высказываю мнение, о том, что специалисты дизайна и юзабилити Apple много на себя берут, поступая так.
              +2

              Кажется, все дизайнеры слишком много на себя берут. Но тут, конечно, особенно внушающий случай. Интересно, рассматривалось ли в принципе ими решение о фишинге?


              Также хотелось бы отметить, что статья не моя.

                0
                Не сразу разобрался, что статья не ваша. Но редактировать поздно.
                По вашему комментарию, на который я отвечал не совсем понятно, что вы имели ввиду. Я лишь хотел заметить, что с их стороны скрыть адрес по-умолчанию — это ответственный шаг. И часть ответственности в вероятном фишинге лежит на них.
                +2
                Именно так. При обычном сертификате ещё пишется домен. Спасибо эпплу хотя бы за то, что настройку «показывать полный адрес» не удалили. Надо их заставить эту галочку активировать по-умолчанию.
          +4
          Помимо того, что Safari совершенно бесцеремонно скрывает адресную строку, есть и другие проблемы. В других браузерах для разных сайтов, принадлежащих разным юр.лицам с одинаковым названием, может отображаться одинаковый текст в зеленой полосе EV сертификата.
          По сути нет какого-то гарантированного преимущества от этих EV сертификатов, о чем собственно и пост.
            +1

            В Safari есть настройка, включив которую, браузер будет показывать адрес всегда полностью. Это помогает продвинутым пользователям (для которых URL — не китайская грамота), а обычным пользователям это ничего не даёт (по сравнению с отображением названия юрлица).

            +3
            Firefox ведет себя аналогично Chrome, но позволяет пользователям просматривать город и штат регистрации двумя щелчками мыши.

            А ведь раньше хватало одного.
            Решение в Safari с показом только сертификата… Думаю, его делали дизайнеры, а не специалисты по безопасности.
              0
              Просто настало время глобального правительства, которое и будет заниматься регистрацией компаний.
                0
                . Во-первых, от регистрации юридического лица до выдачи EV сертификата я потратил менее часа моего времени и около 177 долларов. 100 долларов США — это регистрация компании, а сертификат — 77 долларов США. С момента регистрации до выдачи сертификата прошло около 48 часов.

                я получал EV в России для фирмы год назад. Про регистрацию фирмы промолчу, так как это минимум 10тыр*3 не считая счета в банке и прочих расходов. А верификация EV шла месяц (+оживленная переписка с globalsign, телефонные звонки, + устав ООО + еще копии и тп.).
                Так что не везде и не всем EV можно легко получить.

                * в хроме теперь показ сертификата не так уж легок. :)

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое